Bom, antes de começar, vou resumir o que é um
Honeypot (Pote de mel).
Como o proprio nome ja diz, é como um pote de mel para pegar abelhas, ou melhor, funciona como uma armadilha para os invasores, pois ele
simula portas abertas e serviços rodando no sistema.
Quando o invasor rodar um 'portscan', terá como resultado falsas portas e serviços rodando; enquanto isso, ele loga tudo que o invasor fizer no
sistema.
Existem varios níveis de Honeypots:
- Baixa Interatividade: Serviços Falsos – Listener TCP/UDP – Respostas Falsas
- Média Interatividade: Ambiente falso – Cria uma ilusão de domínio da máquina
- Alta Interatividade: S.O. com serviços comprometidos – Não perceptível ao atacante
O Single Honeypot é um Honeypot de baixa interatividade, pois simula portas e serviços falsos.
Instalação
A instalação do Single Honeypot é muito simples.
Vamos acessar a página abaixo e clicar em: Download
Após o download, vamos no diretório que baixamos e descompactamos o arquivo "shoneypot-0.2.tar.gz", com o seguinte comando:
tar xzvf shoneypot-0.2.tar.gz
Agora entramos no diretorio "shoneypot" com:
cd shoneypot
E vamos instalar o Script com o seguinte comando:
# sh install.sh
Pronto! Já temos o Shoneypot instalado.
Mais ainda não acabou, agora vamos configurá-lo.
Configuração
O Single Honeypot permite simularmos 'ftp', 'http', 'smtp', 'pop3', Shell, etc.
Agora, vamos renomear 2 arquivos do nosso sistema, e criá-los novamente. Para isso, faremos:
# mv /etc/services /etc/services_original
# mv /etc/inetd.conf /etc/inetd.conf_original
Vamos criar os arquivos novos para o funcionamento do Single Honeypot. Criando o "/etc/services"
# vi /etc/services
Com o seguinte conteúdo:
shpot 6635/tcp
shpot-ftp 21/tcp
shpot-smtp 25/tcp
shpot-http 80/tcp
shpot-pop3 110/tcp
shpot-shell 514/tcp
Podemos fechar o arquivo e salvá-lo como: wq
Agora vamos criar o "/etc/inetd.conf". O "inetd.conf" tem o seguinte formato:
<service_name> <sock_type> <proto> <flags> <user> <server-path> <args>
Sendo assim, nosso "inetd.conf" devera ficar assim:
shport stream tcp nowait nobody /usr/local/shport/logthis logthis
shport-ftp stream tcp nowait nobody /usr/local/shport/logthis logthis ftp
shport-smtp stream tcp nowait nobody /usr/local/shport/logthis logthis smtp
shport-http stream tcp nowait nobody /usr/local/shport/logthis logthis http
shport-pop3 stream tcp nowait nobody /usr/local/shport/logthis logthis pop3
shport-shell stream tcp nowait nobody /usr/local/shport/logthis logthis shell
Pronto! Nosso Honeypot já está criado. Porém, ainda podemos alterar alguns parâmetros no arquivo "/usr/local/shpot/thp.conf".
No caso, ele contém vários tipos de Banners de respostas. As portas que abrimos ( Ex.: WEB(http)), pode 'falar' que está rodando
Apache 'versão tal', ou, Microsoft iis 5.0, etc...
Aí basta alterar o que for de gosto de vocês, e após as alterações, reiniciar a máquina. Assim que ela ligar novamente, seu Honeypot já estará
rodando.
Para fazer um teste, basta rodar um SCAN, como por exemplo (logue-se como Root):
# nmap -v -sV ip
E ver o resultado. Se quiser, faça uma conexão na Porta 21 (ftp), para isso digite: 'ftp - open - ip' do Honeypot. E depois, enquanto isso, você pode
monitorar toda a ação em "/var/log/shpot/".
Referências
Bom, por enquanto é só isso. Espero que tenham gostado e que seja útil para alguém.
Ricardo Longatto